AUF DIESER SEITE
RADIUS-Attribute für LLID-Vorauthentifizierungsanforderungen
Konfiguration der Vorauthentifizierung der LLID-Vorauthentifizierung (Logical Line Identification)
Konfigurieren eines Ports und eines Kennworts für LLID-Vorauthentifizierungsanforderungen
Überprüfen und Verwalten der Konfiguration der LLID-Vorauthentifizierung
Logische Linienidentifikation mit RADIUS
RADIUS Logical Line Identifier (LLID) – Übersicht
Die Funktion Logical Line Identification (LLID) hilft Service Providern, eine zuverlässige und aktuelle Kundendatenbank für diejenigen Abonnenten zu pflegen, die häufig von einer physischen Leitung zur anderen wechseln. Die LLID dient dazu, dem Service Provider eine konfigurierbare Rufstellen-ID für die Zugangsleitung des Anwenders zur Verfügung zu stellen. Eine Anrufer-ID wird aus dem physischen Leitungsstandort und den Informationen des Anwender-Clients abgeleitet. Die aus der Einrichtung des Service Providers abgeleiteten Leitungsinformationen sind für den Großhändler für die Zugangsleitung nicht geeignet, um den Besitz der Zugriffsleitung zu verwalten, wenn die Teilnehmer häufig den physischen Standort wechseln. Die LLID-Funktion basiert auf einem virtuellen Port – dem LLID – und nicht auf der physischen Leitung, die vom Anwender verwendet wird. Das LLID bietet ein AAA-gesteuertes Linieninformationsmanagement mit einem Dienstleister (in der Regel einem Großhändler).
Die LLID ist eine alphanumerische Zeichenfolge, die auf dem Benutzernamen und der Verbindungs-ID des Anwenders basiert. Die LLID identifiziert logisch den Anwenderanschluss und wird der physischen Leitung des Anwenders in der Kundendatenbank des Service Providers zugeordnet. Wenn der Anwender an einen anderen Standort und eine andere physische Leitung wechselt, wird die Datenbank aktualisiert, um die LLID der neuen physischen Leitung zuzuordnen. Da die LLID des Anwenders konstant bleibt, bietet sie Service Providern ein sicheres und zuverlässiges Mittel zur Verfolgung von Abonnenten und zur Pflege einer genauen Kundendatenbank. Die Abonnentenverwaltung unterstützt die LLID-Funktion für PPP-Abonnenten über PPPoE, PPPoA und LAC.
Um einem Anwender eine LLID zuzuweisen, gibt der Router zwei RADIUS-Zugriffsanforderungen aus. Die erste Anforderung ist eine Vorauthentifizierungsanforderung, die die LLID von einem RADIUS-Vorauthentifizierungsserver abruft. Die zweite Anforderung ist die Standard-Authentifizierungsanforderung, die an den RADIUS-Authentifizierungsserver gesendet wird.
In der folgenden Abfolge von Schritten wird beschrieben, wie die Anwenderverwaltung die LLID abruft und verwendet. Das Verfahren geht davon aus, dass die Vorauthentifizierung auf dem Router aktiviert ist und dass die RADIUS-Vorauthentifizierungs- und -Authentifizierungsserver konfiguriert sind.
Der PPP-Anwender sendet eine Authentifizierungsanforderungsnachricht an den Router.
Der Router sendet eine Zugriffsanforderungsnachricht an den RADIUS-Vorauthentifizierungsserver, um eine LLID für den Anwender zu erhalten.
Der Vorauthentifizierungsserver gibt die LLID im Attribut Calling-Station-Id (RADIUS-Attribut 31) in der Access-Accept-Nachricht an den Router zurück.
Hinweis:Dieser Schritt umfasst eine nicht standardmäßige Verwendung des Attributs Calling-Station-Id. Dieses Attribut ist in der Regel in RADIUS-Anforderungsnachrichten vorhanden, z. B. in einer Zugriffsanforderung, nicht in Antwortnachrichten. Außerdem ignoriert der Router alle RADIUS-Attribute außer der Calling-Station-Id, die in der Access-Accept-Nachricht vor der Authentifizierung zurückgegeben werden. Darüber hinaus haben alle radius options auf dem Router konfigurierten Elemente, wie z. B calling-station-id-format. , keine Auswirkungen auf das Calling-Station-Id-Attribut in der Vorauthentifizierungsanforderung.
Der Router codiert die Calling-Station-Id (die LLID) in einer zweiten Access-Request-Nachricht und sendet die Nachricht an den RADIUS-Authentifizierungsserver. Diese Authentifizierungsanforderung ist die Standardverwendung des Calling-Station-Id-Attributs.
Der RADIUS-Authentifizierungsserver gibt eine Access-Accept-Nachricht an den Router zurück. Die Access-Accept-Nachricht enthält Attribute für die Anwender-Sitzung.
Hinweis:Sobald der vorab authentifizierte Anwender erfolgreich vom RADIUS-Authentifizierungsserver authentifiziert wurde, enthalten alle nachfolgenden RADIUS-Anforderungsnachrichten, z. B. Accounting-Request-Nachrichten, die LLID im Calling-Station-Id-Attribut.
Bei getunnelten PPP-Teilnehmern kodiert der Router als L2TP Access Concentrator (LAC) die LLID in Calling Number AVP (L2TP-Attribut 22) und sendet das Attribut in einem Incoming-Call-Request (ICRQ)-Paket an den L2TP-Netzwerkserver (LNS). Nach einer erfolgreichen Vorauthentifizierungsanforderung kodiert der Router die LLID immer in der L2TP-Rufnummer AVP.
RADIUS-Attribute für LLID-Vorauthentifizierungsanforderungen
Tabelle 1 listet die RADIUS-IETF-Attribute auf, die in einer Vorauthentifizierungsanforderung zum Abrufen der LLID eines Anwenders verwendet werden, und beschreibt die Informationen, die in den Attributen enthalten sind. In einigen Fällen verwendet die Vorauthentifizierung ein Attribut für Informationen, die sich von der IETF-Beschreibung unterscheiden – die Tabelle gibt jede nicht standardmäßige Verwendung von RADIUS-Attributen an.
Attributnummer |
Attributname |
Beschreibung |
|---|---|---|
1 |
Benutzername |
(Nicht standardmäßige Verwendung des Attributs.) Identifizierende Informationen für den Benutzer, die mit der LLID verknüpft sind, im folgenden Format.
Beispiel:
Hinweis:
Der Router entfernt während der Vorauthentifizierung alle dynamisch generierten Informationen aus dem User-Name-Attribut. |
2 |
Benutzer-Passwort |
(Nicht standardmäßige Verwendung des Attributs.) Passwort des zu authentifizierenden Benutzers. Beispiel: Immer auf |
4 |
NAS-IP-Adresse |
IP-Adresse des Network Access Servers (NAS), der die Authentifizierung des Benutzers anfordert Beispiel: |
5 |
NAS-Port |
Physische Portnummer des NAS, das den Benutzer authentifiziert. Immer als Bitfeld interpretiert |
6 |
Service-Typ |
Art der vom Benutzer angeforderten Dienstleistung oder Art der zu erbringenden Dienstleistung. Beispiel: |
61 |
NAS-Port-Typ |
Typ des physischen Ports, den das NAS zur Authentifizierung des Benutzers verwendet. Sie können die |
77
|
Connect-Info |
(Nicht standardmäßige Verwendung des Attributs.) Der Benutzername. Beispiel: |
87 |
NAS-Port-ID |
Textzeichenfolge, die die physische Schnittstelle der NAS identifiziert, die den Benutzer authentifiziert. Enthält alle dynamisch generierten Informationen. Beispiel: |
Konfiguration der Vorauthentifizierung der LLID-Vorauthentifizierung (Logical Line Identification)
Mit der Funktion Logical Line Identification (LLID) können Service Provider Anwender anhand eines virtuellen Ports – dem LLID – und nicht anhand des vom Anwender genutzten physischen Ports verfolgen. Die LLID wird von einem RADIUS-Vorauthentifizierungsserver zugewiesen, den Sie in einem Zugriffsprofil konfigurieren.
So konfigurieren Sie den Router für die Unterstützung der Vorauthentifizierung für die LLID-Funktion:
Sie können die Anweisungen für die Vorauthentifizierung in diesem Verfahren nicht konfigurieren, wenn Sie die radius attributes exclude Anweisung so konfiguriert haben, dass das Attribut Calling-Station-ID aus RADIUS Access-Request-Nachrichten ausgeschlossen wird.
Geben Sie das Zugriffsprofil an, das Sie für die Unterstützung der Vorauthentifizierung des Anwenders verwenden möchten.
[edit]user@host# edit access profile profile-nameGeben Sie die Reihenfolge an, in der der Router die unterstützten Vorauthentifizierungsmethoden verwendet. radius ist die einzige unterstützte Authentifizierungsmethode.
[edit access profile profile-name]user@host# set preauthentication-order radiusGeben Sie an, dass Sie die RADIUS-Unterstützung konfigurieren möchten.
[edit access profile profile-name]user@host# edit radiusGeben Sie die IP-Adresse des RADIUS-Servers an, der für die Vorauthentifizierung verwendet wird.
[edit access profile profile-name radius]user@host# set preauthentication-server 192.168.100.10Hinweis:Die Vorauthentifizierungsfunktion verwendet die und-Parameter, die
retrytimeoutfür den RADIUS-Authentifizierungsserver konfiguriert sind.(Optional) Zeigen Sie AAA-Vorauthentifizierungsstatistiken an.
user@host>
show network-access aaa statistics preauthenticationPreauthentication module statistics Requests received: 2118 Multistack requests: 0 Accepts: 261 Rejects: 975 Challenges: 0 Requests timed out: 882(Optional) Überprüfen Sie die Konfiguration des RADIUS-Vorauthentifizierungsservers.
user@host1> show radius pre-authentication servers RADIUS Pre-Authentication Configuration --------------------------------------- Udp Retry Maximum Dead IP Address Port Count Timeout Sessions Time Secret ------------- ---- ----- ------- -------- ---- ------ 203.0.113.168 1812 3 3 255 0 radius
Konfigurieren eines Ports und eines Kennworts für LLID-Vorauthentifizierungsanforderungen
Sie können einen Router, der als RADIUS-Client fungiert, so konfigurieren, dass er einen RADIUS-Server für Authentifizierungs- und Vorauthentifizierungsanforderungen an zwei verschiedenen UDP-Ports und mit unterschiedlichen geheimen Kennwörtern kontaktiert. Ähnlich wie bei der Konfiguration der Portnummern für Authentifizierungs- und Kontoführungsanforderungen können Sie eine eindeutige Portnummer definieren, die der Router verwendet, um den RADIUS-Server für LLID-Vorauthentifizierungsanforderungen (Logical Line Identification) zu kontaktieren. Sie können auch ein eindeutiges Kennwort für Vorauthentifizierungsanforderungen definieren. Wenn Sie keinen separaten UDP-Port oder geheimen Schlüssel für Vorauthentifizierungszwecke konfigurieren, wird derselbe UDP-Port und derselbe geheime Schlüssel verwendet, den Sie für Authentifizierungs-Nachrichten konfigurieren.
Um eine eindeutige UDP-Portnummer zu konfigurieren, die für die Kontaktaufnahme mit dem RADIUS-Server für Vorauthentifizierungsanforderungen verwendet werden soll, schließen Sie die preauthentication-port port-number Anweisung auf der [edit access radius-server server-address] [edit access profile profile-name radius-server server-address] ODER-Hierarchieebene ein.
So geben Sie den UDP-Port für alle Zugriffsprofile an:
[edit access] radius-server server-address { preauthentication-port port-number; }So geben Sie den UDP-Port für ein bestimmtes Zugriffsprofil an:
[edit access] profile profile-name { radius-server server-address { preauthentication-port port-number; } }
Um das Kennwort für die Kontaktaufnahme mit dem RADIUS-Vorauthentifizierungsserver zu konfigurieren, schließen Sie die preauthentication-secret password Anweisung auf deredit access radius-server server-address] [ oder [edit access profile profile-name radius-server server-address] Hierarchieebene ein.
So legen Sie das Kennwort für alle Zugriffsprofile fest:
[edit access] radius-server server-address { preauthentication-secret password; }So legen Sie das Kennwort für ein bestimmtes Zugriffsprofil fest:
[edit access] profile profile-name { radius-server server-address { preauthentication-secret password; } }
Überprüfen und Verwalten der Konfiguration der LLID-Vorauthentifizierung
Zweck
Zeigen Sie Statistiken und Konfigurationsinformationen im Zusammenhang mit der Vorauthentifizierung von Logical Line Identification (LLID) an.
Aktion
So zeigen Sie die LLID-Vorauthentifizierungsstatistiken an:
user@host> show network-access aaa statistics preauthentication
So zeigen Sie Informationen zu Vorauthentifizierungsservern an:
user@host> show network-access aaa radius-servers